Olá novamente, pessoal!
Depois que publiquei meu
artigo sobre o RAT baseado em Telegram IM , recebi algumas mensagens com um ponto em comum - que evidências adicionais podem ser encontradas se uma estação de trabalho estiver infectada com o RAT baseado em Telegram IM?
Ok, pensei, vamos continuar essa investigação, além disso, o tema atraiu tanto interesse.
O RAT baseado em telegrama deixa alguns traços na RAM e podemos encontrá-lo durante a análise.
Mas na maioria dos casos, um investigador não pode analisar a RAM no modo em tempo real. Como podemos obter um despejo de RAM o mais rápido possível? Por exemplo, você pode usar o Belkasoft Live RAM Capturer. É uma ferramenta totalmente gratuita e funciona muito rápido, sem grandes esforços administrativos.
Após a conclusão do processo, basta abrir o arquivo de despejo em qualquer um dos visualizadores Hex (neste exemplo, usei o FTK Imager, mas você pode escolher uma ferramenta mais leve). Faça uma pesquisa pela string
telegram.org - se um aplicativo Telegram nativo não estiver sendo usado na estação de trabalho infectada, é uma "bandeira vermelha" da presença do processo Telegram RAT.
Ok, vamos fazer outra pesquisa pela string
"telepot" . Telepot é um
módulo baseado em Python para a API do Telegram Bot. Este é um módulo usado principalmente nos RATs do Telegram.
Então, agora você vê - não é grande coisa, especialmente quando você sabe qual ferramenta é mais apropriada para uma tarefa.
Na Rússia, toda a zona de domínio
* .telegram.org é restrita por Roskomnadzor e o Telegram geralmente usa um proxy ou VPN para conectar-se a um servidor. Mas ainda podemos detectar solicitações de DNS da estação de trabalho de interesse para
* .telegram.org - mais uma "bandeira vermelha" para nós.
Aqui está a amostra de tráfego que tirei com o Wireshark:
E o último, mas não menos importante - o Telegram RAT rastreia o sistema de arquivos (NTFS aqui). Como mencionei na
1ª parte do meu artigo , a melhor maneira de implantar o Telegram RAT baseado em Python usando apenas um arquivo é compilar todos os arquivos com o
pyinstaller .
Após a execução do arquivo .exe, muitos arquivos Python (módulos, bibliotecas etc.) foram extraídos e podemos encontrar essas atividades em
$ MFTSim, existe uma ferramenta leve e gratuita para extrair $ MFT (e outras coisas forenses) em um sistema LIVE. Estou falando sobre a ferramenta
forecopy_handy . Não é uma ferramenta nova em folha, mas ainda é útil para alguns especialistas em computação forense.
Bem, podemos extrair $ MFT e, como você vê, também obtemos um registro do sistema, logs de eventos, pré-busca etc.
Agora, vamos encontrar alguns traços que estamos procurando. Analisamos $ MFT com
MFTEcmd
E aqui está a atividade típica do sistema de arquivos do Telegram RAT - muitos arquivos
.pyd e bibliotecas Python:
Eu acho que deveria ser o suficiente para detectar o RAT baseado em Telegram agora, pessoal :)